19 jun '23
Er komen nieuwe, strengere cybersecurityregels voor de energiesector. En die regels komen uit de NIS2-richtlijn die in december 2022 in Europees verband is afgerond en nu wordt omgezet in Nederlandse wetgeving. Omdat er veel staat te veranderen, brengen wij u graag – op hoofdlijnen – op de hoogte voor wat dit voor de energiesector gaat betekenen.
De NIS2-richtlijn schrijft verplichtingen voor aan maar liefst 18 sectoren. De energiesector staat als eerste sector genoemd en wordt verdeeld in de volgende deelsectoren:
Per deelsector worden diverse entiteiten genoemd. In totaal worden 19 soorten entiteiten aangeven die – wanneer zij voldoen aan Europees rechtelijke definities – kunnen vallen onder de nieuwe cybersecurityverplichtingen van de NIS2.
De richtlijn schrijft strengere minimum beveiligingseisen voor. Bijvoorbeeld over incidentenbehandelingen, back-upbeheer, crisisbeheer, beveiligingsaspecten ten aanzien van personeel, toegangsbeleid, het verwerven en onderhouden van informatie en netwerksystemen, en het beveiligen van de toeleveringsketen.
Toeleveringsketen
De NIS2 schrijft voor dat entiteiten die onder de definities van de deelsectoren vallen, rekening houden met specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners.
Gecertificeerde producten
Zo kunnen lidstaten – in het kader van de beveiligingsverplichtingen van de NIS2 – van entiteiten in de energiesector eisen dat van bepaalde gecertificeerde ICT-producten, -diensten en -procedures gebruik wordt gemaakt die aan Europese normen voor cyberveiligheid voldoen.
Dit zijn enkele voorbeelden van de verplichtingen uit de NIS2.
Om ervoor te zorgen dat dit onderwerp ook op het niveau van het bestuur van de ondernemingen wordt gedragen, gelden er straks voor hen diverse verplichtingen. Zo schrijft de NIS2 voor dat zij de beveiligingsmaatregelen voor het beheer van de cyberrisico’s moeten goedkeuren en aansprakelijk moeten kunnen worden gesteld voor inbreuken op de beveiliging.
Om er ook daadwerkelijk voor te zorgen dat zij hiertoe de nodige kennis hebben, zijn zij ook verplicht om een opleiding te volgen om risico’s te kunnen identificeren en cyberveiligheidspraktijken op het gebied van cyberbeveiliging te kunnen beoordelen, en de gevolgen daarvan voor die dienst van hun onderneming.
In extreme gevallen maakt de NIS2 het zelfs mogelijk om een certificering of vergunning van een onderneming tijdelijk op te schorten of zelfs een leidinggevende tijdelijk te schorsen.
De NIS2 gaat ook verder in de eisen aan meldingen bij incidenten. Zo wordt er verplicht dat er bij incidenten binnen 24 uur een eerste melding wordt gedaan, binnen 72 uur een tweede, meer gedetailleerde melding en uiterlijk een maand na de tweede melding een eindverslag. Als het incident dan nog loopt, dan moet een voortgangsverslag worden ingediend en uiterlijk een maand na de afhandeling van het incident moet dan alsnog een eindverslag worden ingediend.
Uiteindelijk kan voor overtreding van de beveiligingsverplichtingen of de meldingsplicht ook een boete worden opgelegd van maximaal 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet.
De NIS2 moet op 17 oktober 2024 zijn geïmplementeerd in de Nederlandse wet en specifiek in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In deze wet is in 2018 de NIS1 geïmplementeerd. Naar verwachting gaat het wetsvoorstel voor de implementatie van de NIS2 in de herfst van 2023 in consultatie. Wij houden dat uiteraard voor u in de gaten.
Als u meer wilt weten over cybersecurityverplichtingen in de energiesector, neem vooral contact met ons op.
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.